English 
城と堀のモデルは死にました。死ぬのではありません。死んだのです。ファイアウォールとVPN、そしてIPアクセス許可リストの原型は、固定デバイスを備え、外部からのセキュリティ脅威に直面していたオフィス環境から生まれました。今日の世界は、過去の時代とは異なる動きをしています。今日、攻撃者はドアを壊したりしません。ログインするのです。.
リモートワークにより、ユーザーは自宅、空港、コーヒーショップに分散。同時に、AIを駆使したフィッシングがゲームを完全に変えました。ディープフェイクは本物のように聞こえます。AIが書いたEメールは個人的なものに感じられます。ログインページは完璧に見えます。ワンクリックで十分。.
マイクロソフト2025年版のセキュリティ・データは、すべての組織がその存在を認識することを必要とする恒久的な変化を立証するものです。2025年上半期は 32パーセント AIが生成した誘い文句や自動化されたソーシャル・エンジニアリング技術に起因するIDベースの攻撃の増加。これはノイズではありません。これはシグナルです。.
こちらもお読みください: 日本企業がAIパイロットからAI運用モデルへ移行する理由
デジタルの信頼が漠然としたものでなくなり、システムになるのです。AIの時代には、セキュリティはもはやネットワーク上のどこにいるかということではありません。あなたが誰であり、どのようなコンテクストで活動し、時間とともにどのように行動するかを計算することなのです。.
アイデンティティ文脈。行動。それが新しい境界線。.
柱1:アイデンティティは新しいフロントドア
パスワードは決して強固なものではありませんでした。強いふりをしていただけです。多要素認証でさえも、プレッシャーに押しつぶされようとしています。MFA疲労攻撃、トークン・リプレイ、セッション・ハイジャックは今や一般的な手口です。攻撃者は、ユーザーを使い果たしたり、有効なセッションを盗んだりできるのであれば、暗号化を打ち負かす必要はありません。.
マイクロソフトの2025年の調査結果は、この不愉快な真実を浮き彫りにしています。. 97パーセント ID攻撃のほとんどは、いまだにパスワード・スプレーやブルートフォース技法に頼っています。これは重要なことを物語っています。攻撃者は、スライド上で防御が印象的に見える場所ではなく、摩擦が最も少ない場所に行くのです。.
この問題は、人間の枠を超えるとさらに大きくなります。企業システム内では、今や機械の数が人間の数を上回っています。API、サービスアカウント、ボット、AIエージェント、ワークロードは常に互いに認証し合っています。彼らは疲れません。不満も言いません。そして、適切に監視されることはほとんどありません。.
IBMの2025年脅威インテリジェンスは、その影響を明確に示しています。. 30パーセント の攻撃には、盗まれた、または悪用された有効なクレデンシャルが関与しています。これらのクレデンシャルの多くは人間のものではありません。それらは機械のものでした。.
これが、デジタル・トラストがユーザーネームにとどまることができない理由です。人間であれ機械であれ、すべてのアイデンティティには信頼スコアが必要です。そのスコアは、仮定ではなく、リスクに基づいて変更する必要があります。.
ここで重要な役割を果たすのが暗号化 ID です。証明書ベースの認証とPKIに支えられたIDは、共有された秘密を完全に取り除きます。盗まれるパスワードはありません。疲れるMFAもありません。2025年の基準では、これはもはや高度なセキュリティではありません。基本的な衛生管理です。.
このアプローチは、NIST 800-207およびゼロ・トラスト・アーキテクチャの原則に直接合致します。デフォルトでは信頼しないこと。常に身元を確認します。常に。.
柱2:信頼が保たれるタイミングは文脈で決まる
アイデンティティだけでは十分ではありません。同じユーザーであっても、ある瞬間は安全であっても、次の瞬間には危険であることがあります。コンテキストは、これまでセキュリティ・システムが無視してきた静かな疑問に答えてくれます。このデバイスは何ですか?健康か?リクエストはどこから?使用中のネットワークは?これは通常の時間に起こっているのか?
オフィス内で管理されているノートパソコンからのログインと、真夜中の公衆Wi-Fiで管理されていないデバイスからのログインは同じではありません。両者を同等に扱うことは単純さではありません。それは怠慢です。
最新のデジタル・トラスト・システムは、AIを使ってコンテキストの処理を大規模に行います。何百ものシグナルがミリ秒単位で評価されます。デバイスの姿勢、IPレピュテーション、地理的パターン、ネットワークタイプ、セッション履歴。このどれもがユーザーの速度を低下させません。判断をより鮮明にします。.
ここで条件付きアクセスが威力を発揮します。信頼は弾力的に変化します。あるコンテキストで付与されたアクセスは、別のコンテキストで削減または取り消すことができます。機密性の高いアクションには、ステップアップ検証が必要です。リスクが高まれば、読み取り専用アクセスがフルアクセスに取って代わることもできます。システムはドラマなしに適応します。. コンテクスト セキュリティの決定は、何年も前に書かれた静的なルールではなく、現実を反映したものであることを保証します。.
柱3:行動は無言の認証者
信憑性が嘘であっても、行動は真実を語るもの。人はパターンで動きます。リズムに合わせてタイプします。彼らは システム 慣れ親しんだ方法で。そのパターンが突然変わったら、何かがおかしい。.
静かに見守る行動バイオメトリクス。キーストロークのケイデンス。マウスの動き。ナビゲーションの流れ。スパイするためではなく、正常を確立するため。.
いつもは5つのファイルにアクセスするユーザーが、突然500のファイルをダウンロードした場合、信頼は明日のアラートを待つべきではありません。瞬時に落ちるはずです。.
IBMが発表した2025年のデータでは、なぜこのことがこれまで以上に重要なのかが説明されています。情報を盗むフィッシングメールが84%増加し、攻撃者はAIを使用して大規模なフィッシングサイトを生成しています。情報漏えいは人間が対応するよりも速い。.
これが、ログインして終わりという考え方に代わって、継続的な検証が行われる理由です。認証はログインで終わりません。セッション全体を通して行われます。.
行動ベースの信頼により、システムはリアルタイムで対応できます。アクセスの削減セッションの一時停止リスクが顕在化したときのみ検証を開始。セキュリティは妨害的ではなく、適応的になります。AIの時代には、行動が何かが間違っているという最初のシグナルになることがよくあります。.
デジタル・トラストがセキュリティをビジネス価値に変える方法
セキュリティチームは長年、恐怖を売り物にしてきました。違反。罰金。見出し。そのやり方では予算は承認されますが、長期的な支持は得られません。.
デジタルの信頼が会話をひっくり返します。アイデンティティ、コンテクスト、行動が一体となれば、セキュリティはビジネスを停滞させません。事務処理ではなくリスクに基づいてアクセスが許可されるため、オンボーディングが迅速になります。新入社員はアクセス許可を得るまで何週間も待つ必要がなくなります。パートナーは、そもそも持つべきでなかった包括的なアクセスを得ることはありません。.
お客様も違いを感じています。不必要なステップアップが減りました。ログインの失敗が減少。セキュリティが罰のように感じられる瞬間が減ります。トラスト・ドリブン・システムは安全な行動を認識し、邪魔をしません。.
また、あまり語られることのない運用面でのメリットもあります。サポートチケットは減少。手作業によるレビューは減少します。セキュリティチームは偽陽性を追う時間を減らし、真のリスク対応に多くの時間を費やすことができます。これは、情報漏えいの防止を考慮する前であっても、直接的なROIです。.
世界経済フォーラムの デジタル・トラスト は同じように重要なことを強調しています。社内の信頼は社外の信頼と同じくらい重要です。従業員は、モニタリングがどのように機能し、なぜ存在するのかを理解する必要があります。セキュリティが秘密めいたものであったり、侵入的なものであったりすると、人々はそれを回避しようとします。システムが透明であれば、人々は協力します。.
デジタル・トラストはビジネスを保護するだけではありません。コントロールを失うことなく、ビジネスをより迅速に進めることができます。これが、保険としてのセキュリティと利点としてのセキュリティの違いです。.
実際に機能するロードマップ
デジタルの信頼というと複雑に聞こえますが、実装は混沌としている必要はありません。アイデンティティの可視化から始めましょう。環境全体のあらゆるアイデンティティをマッピングします。人間のユーザー、サービスアカウント、API、ボット、ワークロード。ほとんどの組織は、所有者やローテーション・ポリシーのないマシン・アイデンティティの多さにショックを受けています。その盲点をまず埋めなければなりません。.
次に、リスクベースの認証を導入します。これはアイデンティティ、コンテキスト、行動が一体となったものです。リスクの低い行動はスムーズなまま。高リスクのシグナルはより強力なチェックを誘発します。アクセスは二元的ではなく、比例的になります。ユーザーはより少ない摩擦を感じ、攻撃者はより早く壁にぶつかります。.
そして、ツールではなく、統合に焦点を当てます。アイデンティティ・システム、エンドポイント・セキュリティ、ネットワーク・テレメトリー、そして行動分析は、互いに対話する必要があります。サイロ化されたコントロールでは、リアルタイムで信頼性を計算することはできません。.
最後に、信頼を共有のマインドセットにすることです。デフォルトでの信頼は セキュリティ スローガンこれは設計の原則です。あらゆるシステムは違反を想定し、継続的に検証します。リーダーはそれを強化します。従業員はそれを理解します。プロセスはそれを反映します。.
このロードマップは、ビッグバン的な変革を必要としません。ステップ・バイ・ステップです。しかし、一旦それが始まれば、組織全体のセキュリティに関する意思決定の方法が変わります。.
デジタルの信頼とは、物事をより厳しく管理することではありません。よりスマートな意思決定を常に迅速に行うことです。.
信頼が唯一の境界線
アイデンティティは、あなたが誰であるかを証明します。文脈は、信頼がいつ変わるべきかを説明します。行動は、信頼がまだ維持されているかどうかを確認します。これらが一体となって、AI時代を生き抜く唯一の境界を形成するのです。.
なぜなら、AIが声や顔や文字を完璧に模倣できるようになれば、セキュリティはもはや本物に見えるものには依存しなくなるからです。リアルタイムで検証できるかどうかにかかっているのです。そして、それこそがデジタルの信頼というものなのです。.
日本語